Список IP-адресов в двоичном коде после деобфускации

Для проверки, является ли удаленный хост на самом деле частью ботнета, он сначала тестируется на порте 62999/tcp. После этого вся последующая коммуникация с этим хостом происходит через HTTP-соединения на порте 8080/tcp. Если бот пытается получить информацию от ботнета, он посылает GET-запрос на URL /search=[resource] другому пиру (ниже выделен красным цветом). Ответ (выделен синим) содержит требуемые данные. В примере, приведенном ниже, бот спрашивает, существует ли файл с названием ip_list_2.

Удаленный пир подтверждает существование файла, отослав обратно MD5 хэш-код содержимого. Несуществующий файл или другой недействительный запрос был бы показан как null. Для загрузки искомого файла в запросе оставлен суффикс .txt:

Ответ содержит список IP-адресов, принадлежащих другим пирам ботнета. Этой информации достаточно, чтобы рекуррентно опросить пиринговую сеть и узнать IP-адреса ее пиров, или, по крайней мере, той ее части, которая использует публичные IP-адреса. Мы исследовали часть сети и записали полученные IP-адреса. На графической схеме видна сеть с ярко выраженными внутренними связями. Через несколько секунд мы остановили наш алгоритм: при дальнейшей его работе схема стала бы слишком большой, и ее визуализация заняла бы слишком много времени. В результате некоторые узлы на схеме подсоединяются к «тупикам» — пирам, которые далее никуда не ведут.

Части P2P-ботнета Miner

resulted in 9.141 hosts for ip_list and 28.675 hosts for ip_list_2 with only 57 hosts being present in both lists — a total of almost 38.000 different public IP addresses.

Есть три отдельных списка хостов: ip_list, ip_list_2 и ip_list_3, однако во время тестов последний всегда был пуст. Те запуски алгоритма, в которых эксперты исследовали сети, соответствующие первым двум спискам, заняли семь часов. В результате экспертам удалось получить 9141 хостов для ip_list и 28675 хостов для ip_list_2, и только 57 хостов присутствовали в обоих списках — в общей сложности это почти 38.000 различных публичных IP-адресов. Учитывая, что сейчас большинство машин находятся за файерволами или шлюзами, реальное количество зараженных машин может быть на порядки выше.

Бот может получить свой IP-адрес, используемый для общения в интернете, через /search=get_my_ip и проверить, можно ли к нему обратиться извне с помощью /search=listen_test. Еще один интересный момент – запрос /search=soft_list, возвращающий список исполняемых файлов:

Этот список содержит несколько файлов, которые бот загружает из пиринговой сети и запускает. Он также запрашивает их, посылая имя файла как параметр для запроса /search= request. У каждого файла есть уникальный идентификационное номер – число перед первым тире. Числовая строка в следующем поле была сокращена в примере выше для более удобного прочтения. Ее назначение еще неизвестно. Похоже, что у более новых файлов более высокие числа ID. К примеру, файлы client_3.exe, client_4.exe, client_6.exe и client_7.exe, которые отсутствуют в списке ПО, однако все же могут загружаться, имеют увеличивающиеся идентификационные номера:

• client_3.exe: 1555
• client_4.exe: 1596
• client_6.exe: 1607
• client_7.exe: 1611
• client_8.exe: 1864

Проверить, рассылается ли новое ПО по ботнету, несложно: нужно всего лишь загрузить список ПО и найти новые идентификационные номера. Мы продолжим мониторинг и будем добавлять сигнатуры для новых зловредов в наше детектирование сразу же после их появления.

Источник